Unsere Serie zum Windows Server 2003 zeigt Ihnen die verschiedenen Aspekte und Hilfsmittel auf, die bei der Überwachung eines Servers hilfreich sind. Die Artikelserie hilft Ihnen, die Kernkompetenzen zu erwerben, die nach Meinung von Microsoft für einen Administrator nötig sind, um mit Windows Server 2003 umgehen zu können. Die sechs Teile der Artikelserie beschäftigen sich mit folgenden Themen:
Ereignisse überwachen und analysieren mit Ereignisanzeige und Systemmonitor
Hier lernen Sie, wie Sie mit dem Systemmonitor die Leistung Ihres Windows-Server-2003-Rechners überwachen. Zudem erfahren Sie, wie Sie mit den Protokollen der Ereignisanzeige Fehler finden und identifizieren.
Datei- und Druck-Server verwalten mit Task-Manager, Ereignisanzeige und Systemmonitor: Hier lernen Sie, den Datei- und Druckgebrauch mit Hilfe der verschiedenen Tools von Windows Server 2003 zu überwachen. Zudem erfahren Sie, wie man Leistungsbremsen identifiziert.
Fehlerbehebung bei Druckwarteschlangen: Wenn Sie mit Windows Server 2003 arbeiten, sollten Sie unbedingt wissen, wie man Probleme beim Druck beseitigt. Drucken gehört zu den wichtigsten Aufgaben eines Windows-Server-2003-Servers.
Server-Leistung überwachen: Auch mit den Leistungscharakteristika Ihrer 2003-Server sollten Sie sich auskennen. So können Sie potenzielle Probleme identifizieren, ehe diese zu Ausfällen führen.
Eine Server-Umgebung hinsichtlich Applikations-Performance überwachen und optimieren: Dazu zählen Speicherleistungsobjekte überwachen, Netzwerkleistungsobjekte überwachen und Datenträgerleistungsobjekte überwachen. Dabei lernen Sie, wie man einen Windows-2003-Server überwacht und optimiert, indem man die vier grundlegenden Arten von Leistungsobjekten im Auge behält.
Die Serie basiert auf Kapitel 6 des Buches "MCSA/MCSE - Windows Server 2003 verwalten und warten. Examen70-290" von Lee Scales und John Michell. Erschienen ist es im Verlag Addison-Wesley. Sie können sich das über 600 Seiten starke Buch in unserem Buchshop versandkostenfrei bestellen oder als eBook beziehen.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |
Die Ereignisprotokolle
Die Ereignisanzeige ist bei Windows Server 2003 über die MMC Computerverwaltung oder als eigenständiges MMC-Snap-in verfügbar. Dieses Utility verzeichnet Informationen über verschiedene Systemvorkommnisse. Wenn Sie Probleme haben, sehen Sie zuerst in der Ereignisanzeige nach. Doch auch sonst sollten Sie regelmäßig einen Blick auf die Ereignisanzeige werfen, um den regulären Server-Betrieb und die Ereignisse im Auge zu behalten.
Man benutzt die Ereignisanzeige, um die Ereignisprotokolldateien anzusehen, in die das Betriebssystem und die verschiedenen Dienste und Applikationen auf Ihrem Server schreiben. Typischerweise werden Ereignisse dann in Protokolle geschrieben, wenn sie eine gewisse Bedeutung besitzen und daher interessant für Benutzer oder Administrator sein könnten. Wenn Sie den Inhalt dieser Protokolldateien lesen, können Sie den Zustand Ihres Servers leichter in Erfahrung bringen und so einen ersten Schritt zur Problemdiagnose tun.
Wie bei den Vorgängerversionen des Betriebssystems haben alle Server die folgenden drei Protokolldateien: System, Sicherheit und Anwendung. Allerdings wurde die Ereignisanzeige insofern ausgebaut, als jetzt auch andere Komponenten und Anwendungen von Drittherstellern dort ihre Protokolle ablegen dürfen, so dass die Ereignisanzeige nun der zentrale Speicherort für Protokolle ist. Welche Protokolle bei Ihnen angezeigt werden, hängt davon ab, welche Komponenten Sie installiert haben. Wie Sie in Bild 1 sehen können, legt zum Beispiel der DNS-Dienst ein eigenes Protokoll an.
Übersicht über die einzelnen Protokolle
Wie gesagt, alle Windows-2003-Systeme haben mindestens die folgenden drei Protokolle:
System - In dieser Datei werden Ereignisse aufgezeichnet, die den Systembetrieb betreffen. Zumeist haben sie mit Gerätetreibern und Diensten wie DHCP oder WINS zu tun. Die Informationen hier betreffen das Anhalten und Starten von Diensten oder den Ausfall einer Systemkomponente.
Anwendung - In dieser Datei werden Ereignisse aufgezeichnet, die Applikationen, Programme und Utilities betreffen, die normalerweise nicht zu den nativen Komponenten von Windows Server 2003 gehören. Beispiele wären Datenbanken oder Mail-Server. Was hier genau aufgezeichnet wird, bestimmt der Programmierer der Applikation. Normalerweise sind dies Nachrichten, Fehler und Warnungen. In diesem Protokoll werden auch die Warnungen gespeichert, die vom Tool "Leistungsprotokolle und Warnungen" erzeugt werden.
Sicherheit - In dieser Datei werden Ereignisse aufgezeichnet, die mit Sicherheit und Überwachung zu tun haben. Typische Ereignisse sind gültige und ungültige Anmeldeversuche und der Zugriff auf Ressourcen (Öffnen, Lesen oder Löschen einer Datei oder eines Ordners). Welche Arten von Ereignissen in diesem Protokoll aufgezeichnet werden, kann mit der Überwachungsrichtlinie konfiguriert werden. Bei den Vorgängerversionen zeichnete das Sicherheitsprotokoll keinerlei Informationen auf, ehe nicht eine Überwachungsrichtlinie aktiviert war. Bei Windows Server 2003 ist die Sicherheitsprotokollierung per Vorgabe aktiv.
Wenn auf Ihrem Server der DNS-Dienst installiert ist, sehen Sie auch DNS-Server in der Ereignisanzeige. Darin werden die Ereignisse aufgezeichnet, die den Betrieb des DNS-Servers betreffen. Wenn Sie im Netzwerk Probleme mit der Namensauflösung haben, sollten Sie hier zuerst nachsehen.
Zudem besitzen Active-Directory-Domänen-Controller die folgenden Protokolle:
Verzeichnisdienst - Diese Datei zeichnet Ereignisse auf, die sich auf den Betrieb des Active-Directory-Diensts beziehen. Typische Ereignisse in diesem Protokoll betreffen die Kommunikation zwischen Domänen-Controllern und Globalen-Katalog-Servern.
Dateireplikationsdienst - Diese Datei zeichnet Ereignisse auf, die die Replikation von SYSVOL und des DFS-Baums betreffen.
Die Ereignisprotokolle verstehen
Wie bereits gesagt, können Ereignisprotokolle sehr hilfreich sein - nicht nur zur Überwachung des Server-Betriebs, sondern auch als erster Ansatzpunkt bei der Diagnose eines Problems. Sie sollten sich mit den Standardereignissen des Normalbetriebs vertraut machen, denn manche "Fehler" sind ganz normal und deuten keineswegs auf ein Problem hin.
Das Ereignisprotokoll verzeichnet fünf Typen von Ereignissen. Wie Sie in Bild 2 sehen können, werden die verschiedenen Ereignistypen mit Icons visualisiert. Sie können so schnell Ereignisse identifizieren, die Ihre Aufmerksamkeit erfordern.
Die fünf Typen und ihre Icons sind:
Fehler - Werden durch ein Kreuz in einem roten Kreis visualisiert. Ein Fehler ist normalerweise ein echtes Problem, das zu Daten- oder Funktionalitätsverlust führen kann. Typische Beispiele für Fehler sind Dienste, die angehalten wurden oder beim Systemstart nicht starteten, oder Fehler beim Lesen oder Schreiben von oder auf Festplatte.
Warnungen - Werden durch ein Ausrufezeichen in einem gelben Dreieck visualisiert. Ein Warnungs-Ereignis ist gewöhnlich nicht weiter schlimm, weist Sie aber darauf hin, dass hier ein Problem entstehen könnte. Typische Beispiele für Warnungen sind wenig Speicherplatz auf einer Festplatte oder ein fehlgeschlagenes Synchronisieren des Zeitdienstes.
Informationen - Werden als kleines "i" in einer Sprechblase visualisiert. Die meisten Informationen-Ereignisse weisen Sie nur darauf hin, dass eine Aufgabe erfolgreich abgeschlossen wurde. Wenn zum Beispiel ein Dienst gestartet wird, könnte er ein Informationen-Ereignis ins Protokoll schreiben. Die allermeisten Informationen-Ereignisse sind zwar harmlos, doch wenn Sie den Warndienst aktiviert haben, schreibt er ein Informationen-Ereignis ins Protokoll, wenn eine Warnung ausgelöst wurde. In einem solchen Fall sollten Sie sich sehr wohl um ein Informationen-Ereignis kümmern.
Erfolgsüberwachungen - Werden als Schlüssel visualisiert. Die erfolgreiche Anmeldung am Server oder der Zugriff auf eine überwachte Ressource sind Beispiele für Ereignisse, die zu einem Erfolgsüberwachungs-Ereignis führen.
Fehlversuchsüberwachungen - Werden als Vorhängeschloss visualisiert. Wenn ein Benutzer vergeblich versucht, sich an einem Server anzumelden, oder wenn er ohne die erforderlichen Berechtigungen auf eine überwachte Ressource zugreifen will, dann wird ein Fehlversuchsüberwachungs-Ereignis ausgelöst.
Informationen zu den Einträgen
Jeder Eintrag im Ereignisprotokoll enthält - unabhängig vom Typ - die folgenden Informationen:
Beschreibung des Ereignisses (zumeist, aber nicht immer)
Datum und Uhrzeit des Zeitpunkts, zu dem das Ereignis protokolliert wurde
Typ des Ereignisses (einer der fünf eben besprochenen Typen)
Quelle des Ereignisses - normalerweise der Dienst, die Komponente oder die Applikation, die das Ereignis ins Protokoll schrieb
Benutzer - entweder die Benutzerkennung des angemeldeten Benutzers bei einem Sicherheitsereignis oder aber der Prozessname bei Systemereignissen
Computer ist der Name des Servers, auf dem das Ereignis eintrat
Kategorie des Ereignisses, ist normalerweise nur beim Sicherheitsprotokoll ausgefüllt und lautet dann zum Beispiel An-/Abmeldung, Berechtigungen oder Richtlinienänderung
Ereigniskennung ist eine Zahl, die den Ereignistyp angibt. Diese Zahl kann Ihnen beim Lösen von Server-Problemen helfen.
Wie Sie in Bild 3 sehen können, wird bei manchen Ereignissen ein anklickbarer URL angezeigt. Dieser URL linkt auf die Microsoft-Website. Wenn dort mehr Informationen zu dem Ereignis verfügbar sind, werden sie angezeigt. Wenn Sie eine Fehlermeldung nicht verstehen und kein URL angegeben ist, notieren Sie sich die Ereigniskennung. Die Ereigniskennung hilft Ihnen, wenn Sie in der Knowledge Base von Microsoft suchen. Die Artikel der Knowledge Base sind oft hilfreich beim Lösen von Problemen.
EventID.net
EventID.net ist eine von Microsoft unabhängige Website, die Definitionen für viele der häufigen Ereignisse bereitstellt. Einfache Suchvorgänge und Informationen sind kostenlos. Die Site stellt auch Fehlerbehandlungsinformationen und Zusatzdokumentationen für Abonnenten bereit. Versuchen Sie Ihr Glück also bei www.eventid.net, wenn Ihnen die Microsoft Knowledge Base nicht weiterhelfen konnte.
Mit Ereignisprotokollen arbeiten
Während sich jeder die Protokolle System und Anwendung ansehen kann, haben nur Administratoren Zugriff auf das Protokoll Sicherheit. Um ein Ereignisprotokoll zu öffnen und anzusehen, gehen Sie wie folgt vor:
Öffnen der Ereignisanzeige und Anzeige des Systemprotokolls
1. Wählen SieSTART, VERWALTUNG, EREIGNISANZEIGE.
2. Klicken Sie im linken Fensterbereich der MMC Ereignisanzeige auf den Eintrag SYSTEM.
3. Suchen Sie sich ein Ereignis mit der Quelle EVENTLOG und EREIGNIS-Nummer 6005. Doppelklicken Sie es zum Öffnen.
Wie Ihnen die Bild 4 zeigt, wird ein Ereignis ins Systemprotokoll geschrieben, wenn der Ereignisprotokolldienst gestartet wird. Der Ereignisprotokolldienst wird bei jedem Server-Start gestartet. So erhalten Sie einen guten Ausgangspunkt, wenn Sie nach Fehlern suchen, die seit dem letzten Systemneustart vorgefallen sind.
Protokolle auf einem anderen Rechner öffnen
Sie können die Protokolldateien eines Remote-Systems in Ihrem Netzwerk betrachten, indem Sie das Kommando VERBINDUNG ZU ANDEREM COMPUTER HERSTELLEN verwenden. Dieses Feature vereinfacht Ihnen die administrative Arbeit, da Sie ein System remote diagnostizieren können, anstatt an der Konsole des Computers sitzen zu müssen. Sie müssen Mitglied der Gruppe Administratoren auf dem Remote-Computer sein, um seine Ereignisprotokolle lesen zu können.
Die Ereignisanzeige auf einem Remote-Computer öffnen
Die Ereignisanzeige auf einem Remote-Computer öffnen
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der MMC Ereignisanzeige klicken Sie mit der rechten Maustaste auf EREIGNISANZEIGE (LOKAL). Wählen Sie im Kontextmenü VERBINDUNG ZU ANDEREM COMPUTER HERSTELLEN (Bild 5).
3. Im Dialogfeld COMPUTER AUSWÄHLEN (Bild 6) können Sie entweder den Namen des Remote-Computers eingeben (ohne vorangestellte \\\\) oder auf DURCHSUCHEN klicken, um ihn im Netzwerk zu suchen. Klicken Sie auf DURCHSUCHEN.
4. Im nächsten Dialogfeld, COMPUTER WÄHLEN (Bild 7), klicken Sie auf ERWEITERT.
5. Das nächste Dialogfeld heißt COMPUTER WÄHLEN (Bild 8). Klicken Sie auf die Schaltfläche PFADE, um eine Domäne auszuwählen. Klicken Sie dann auf JETZT SUCHEN, um nach Computern zu suchen.
6. Wählen Sie einen Computer aus und klicken Sie dann zwei Mal auf OK, um die Verbindung herzustellen.
Eigenschaften der Protokolle konfigurieren
Wenn Sie ein Protokoll in der Ereignisanzeige öffnen, sehen Sie eine Momentaufnahme des Protokolls. Falls während des Betrachtens neue Informationen ins Protokoll geschrieben werden, sehen Sie diese nicht, außer Sie klicken das AKTUALISIEREN-Icon in der Werkzeugleiste an. Wenn Sie zwischen Protokollen umschalten, wird die Ansicht automatisch aktualisiert.
Verschiedene Konfigurationseinstellungen legen fest, wie viel Information in den Ereignisprotokollen gespeichert wird und wie lange die Information gespeichert bleibt, ehe sie überschrieben wird. Sie können diese Optionen in den Eigenschaften der einzelnen Protokolle konfigurieren (Bild 9), die Sie über das Kontextmenü des jeweiligen Protokolls öffnen. Jede Protokolldatei hat eigene Größen- und Tagesgrenzen.
Neben der Festlegung der maximalen Protokollgröße gibt es drei weitere Einstellungen für die Protokollgröße:
EREIGNISSE BEI BEDARF ÜBERSCHREIBEN - Wenn das Protokoll voll ist, überschreiben neue Ereignisse die alten.
EREIGNISSE ÜBERSCHREIBEN, DIE ÄLTER ALS ... TAGE SIND - Dies verhindert, dass Informationen in den Protokollen überschrieben werden, bevor die angegebene Zeit verstrichen ist. Wenn das Protokoll voll ist, werden keine Ereignisse mehr aufgezeichnet, ehe nicht Ereignisse älter sind als der festgelegte Zeitraum.
EREIGNISSE NIE ÜBERSCHREIBEN - Diese Option verhindert, dass Protokolle je überschrieben werden, selbst wenn sie voll sind. Sie sollten diese Option nur dann verwenden, wenn Sie die Protokolle regelmäßig leeren oder archivieren. Diese Option wird oft bei Sicherheitsprotokollen in hochsensiblen Netzwerken verwendet, bei denen die Zugriffsdaten für immer gespeichert werden müssen. Sie sollten dann besser die Maximalgröße der Protokolldatei erhöhen, damit der Server die Arbeit nicht einstellt, wenn das Protokoll seine Maximalgröße erreicht und keine älteren Einträge überschreiben kann.
Seien Sie vorsichtig mit der Speicherzeit
Wenn Sie die Speicherzeit beim Ereignisprotokoll falsch konfigurieren, kann es Ihnen passieren, dass Sie wichtige Ereignisse verpassen. Wenn Sie zum Beispiel die Überschreibezeit zu kurz einstellen oder EREIGNISSE BEI BEDARF ÜBERSCHREIBEN bei einer zu kleinen Protokollgröße aktivieren, dann werden Ereignisse überschrieben, sobald sich das Protokoll füllt. Und wenn Sie die Protokollgröße zu klein festlegen und dann EREIGNISSE NIE ÜBERSCHREIBEN aktivieren, werden keine Ereignisse mehr protokolliert, sobald das Protokoll voll ist.
Vorgegeben ist für jede Protokolldatei eine Maximalgröße von 16384 KByte. Wenn diese Größe erreicht ist, werden die ältesten Ereignisse von neuen Ereignissen überschrieben, sofern die Ereignisse mindestens sieben Tage alt sind. Wenn Sie Ereignisse länger speichern müssen, sollten Sie die Dateigröße und die Speicherzeit erhöhen.
Vorgaben bei Ereignisprotokollen
Bei Windows 2000 waren die Vorgaben für Ereignisprotokolle 512 KByte und Überschreiben von Ereignissen, die älter als sieben Tage waren. Bei Windows Server 2003 wurde das Maximum auf praxistauglichere 16384 KByte erhöht, während die sieben Tage unverändert blieben. Das Speicherlimit ist eine signifikante Änderung und könnte Thema in der MCSA/MCSE-Prüfung sein.
Speichereinstellungen von Ereignisprotokollen konfigurieren
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der MMC Ereignisanzeige klicken Sie mit der rechten Maustaste auf das gewünschte Protokoll. Wählen Sie EIGENSCHAFTEN im Kontextmenü.
3. In den EIGENSCHAFTEN des Protokolls (Bild 9) können Sie die Protokollgröße verändern, die Speicherzeit anpassen oder das Protokoll manuell löschen. Nachdem Sie die gewünschten Änderungen durchgeführt haben, klicken Sie auf OK.
Löschen und Speichern von Protokollen
In den Eigenschaften einer Protokolldatei gibt es neben den Einstellungen für das Speichern auch eine Option, um das Protokoll zu löschen. Mit dieser Option können Sie alle Einträge aus der gewählten Protokolldatei entfernen. Diese Option steht Ihnen auch zur Verfügung, wenn Sie eine Protokolldatei in der Ereignisanzeige mit der rechten Maustaste anklicken.
Eine Protokolldatei löschen
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der MMC Ereignisanzeige klicken Sie mit der rechten Maustaste auf das gewünschte Ereignisprotokoll. Wählen Sie im Kontextmenü ALLE EREIGNISSE LÖSCHEN (Bild 10).
3. Wenn Sie diesen Eintrag anwählen, erscheint ein Bestätigungsdialogfeld (Bild 11).
4. Im Dialogfeld SPEICHERN UNTER (Bild 12) geben Sie Name und Pfad für das gespeicherte Protokoll an und klicken dann auf SPEICHERN.
Im Rahmen der regelmäßigen Wartung können Sie Protokolle manuell archivieren, ohne sie zu löschen. Sie speichern die Protokolle, indem Sie eine Protokolldatei in der Ereignisanzeige mit der rechten Maustaste anklicken und dann PROTOKOLLDATEI SPEICHERN UNTER wählen. Sie können die Protokolle im nativen Format .evt oder aber in einem Format speichern, das von anderen Applikationen geöffnet werden kann (.txt oder .csv). Sie können EVT-Dateien in anderen Ereignisanzeigen öffnen. Sie können die Daten sonst als TXT-Datei mit Tabulatorspalten oder aber im kommagetrennten CSV-Format speichern. Diese Formate lassen sich von Textverarbeitungen und Tabellenkalkulationen öffnen.
Optionen bei der Protokollanzeige
Die Vorgabe bei der Ereignisanzeige ist, dass der neueste Eintrag ganz oben steht. Die Ereignisanzeige von Windows Server 2003 kann aber die Ereignisse beliebig nach Spalten sortieren. Wenn Sie die Protokolle zum Beispiel gemäß der Ereigniskennung sortieren wollen, klicken Sie auf den Spaltenkopf EREIGNIS. Die Informationen werden dann ab- oder aufsteigend sortiert, je nachdem, ob Sie einmal oder zweimal geklickt haben (Bild 13).
Ereignisse filtern
Per Vorgabe zeigt die Ereignisanzeige den gesamten Inhalt der Protokolldatei an. Das kann aber zu viel des Guten sein, zumal bei einem stark genutzten Server. Viele der Informationen-Ereignisse sind ja irrelevant, wenn Sie nach der Ursache eines Problems suchen.
In diesem Fall können Sie FILTER im Menü ANSICHT verwenden, um schnell Ereignisse aufzufinden, bei denen Typ, Quelle, Kategorie, Benutzer, Computer, Ereigniskennung oder Datum einen bestimmten Wert haben. So könnten Sie beispielsweise alle Warnungen heraussuchen.
Ein Ereignisprotokoll filtern
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der MMC Ereignisanzeige klicken Sie auf das gewünschte Ereignisprotokoll. Wählen Sie im Menü ANSICHT den Eintrag FILTER (Bild 14).
3. Damit öffnen Sie das EIGENSCHAFTEN-Dialogfeld des Protokolls mit dem Fokus auf dem Reiter FILTER(Bild 15).
4. Im Dialogfeld aus Bild 15 entfernen Sie die Haken bei allen Ereignistypen außer WARNUNG und klicken auf OK. Das Ergebnis des Filters sehen Sie in Bild 16.
5. Um zur Standardansicht mit allen Ereignissen zurückzukehren, wählen Sie im Menü ANSICHT den Menüpunkt ALLE EINTRÄGE (Bild 17).
Die Filteroptionen sind sehr flexibel. Sie können einen oder mehrere Filter verwenden, so dass nur die von Ihnen gewünschten Einträge angezeigt werden.
Filtertypen
Es gibt folgende Filter
EREIGNISTYP - Damit können Sie nach dem Typ des Ereignisses filtern. Vielleicht wollen Sie ja nur Ereignisse sehen, die auf ein Problem hinweisen, wie Warnungen und Fehler. Beim Sicherheitsprotokoll interessieren Sie sich mehr für Erfolgs- oder Fehlerüberwachungen, wie mehrfach erfolglose Anmeldungen (die auf einen Hackversuch hindeuten könnten).
EREIGNISQUELLE - Damit können Sie nach einer bestimmten Quelle (Treiber, Systemkomponente, Dienst) filtern.
KATEGORIE - Damit können Sie nach einer speziellen Kategorie filtern. Dieser Filter ist insbesondere beim Sicherheitsprotokoll wichtig, da dort das Kategoriefeld öfter benutzt wird als bei den anderen Protokollen. Damit können Sie schnell zwischen Anmelde-, Ressourcenzugriffs- und Systemereignissen trennen. Typische Kategorien im Protokoll Sicherheit sind An-/Abmeldung, Kontoanmeldung, Richtlinienänderung und Systemereignis.
EREIGNISKENNUNG - Filtert das Protokoll so, dass nur Ereignisse mit einer bestimmten Kennung angezeigt werden.
BENUTZER - Filtert das Protokoll so, dass nur Ereignisse angezeigt werden, die mit einem bestimmten Benutzer verknüpft sind. Nicht alle Ereignisse haben einen Benutzereintrag.
COMPUTER - Filtert das Protokoll so, dass nur Ereignisse angezeigt werden, die mit einem bestimmten Computer verknüpft sind. Da Windows Server 2003 derzeit ohnehin nur das Protokoll eines Computers darstellt, ist diese Option ohne praktischen Nutzwert.
VON und BIS - Filtert das Protokoll so, dass nur Ereignisse in einem bestimmten Zeitfenster dargestellt werden.
Neue Protokollansicht
Manchmal hilft Ihnen eine spezielle Ansicht eines Protokolls sehr. Microsoft hat daher eine Option bei der Ereignisanzeige eingebaut, die Neue Protokollansicht heißt. Mit dieser Option können Sie sich eine maßgeschneiderte Ansicht jedes beliebigen Protokolls erstellen (Filtern, Größe et cetera) und diese Ansicht unter einem neuen Namen speichern. Damit können Sie die Ansicht der Protokolle frei gestalten, ohne die Standardansicht der Protokolle selbst zu verändern.
Um eine neue Ansicht hinzuzufügen, klicken Sie den Eintrag des betreffenden Protokolls mit der rechten Maustaste an. Wählen Sie im Kontextmenü NEUE PROTOKOLLANSICHT. Der Eintrag des neuen Protokolls erscheint dann in der Ereignisanzeige. Er kann umbenannt und wie jedes andere Protokoll konfiguriert werden.
Bestimmte Ereignisse finden
Es kann vorkommen, dass Sie ein bestimmtes Ereignis (oder eine Gruppe von Ereignissen) finden müssen, die Sie nicht so einfach per Filter zusammenfassen können. Wenn Sie zum Beispiel wissen wollen, wie viele und welche Festplattenfehler bei Ihrem Server aufgetreten sind, werden Sie mit Filtern nicht alle gewünschten Ereignisse auffinden können. In solchen Fällen können Sie die Protokolle erst filtern und dann anhand von Schlüsselwörtern durchsuchen.
Um den Inhalt eines bestimmten Protokolls per Schlüsselwort nach einem Ereignis zu durchsuchen, markieren Sie das Protokoll und wählen ANSICHT, SUCHEN. Im Suchen-Dialogfeld (Bild 18) haben Sie ähnliche Optionen wie beim Filtern. Zusätzlich steht Ihnen mit dem Feld BESCHREIBUNG die Möglichkeit offen, nach Schlüsselwörtern zu suchen. Im Suchen-Dialogfeld können Sie zwar kein Zeitfenster einstellen, aber Sie können die Suchrichtung (NACH OBEN/NACH UNTEN) festlegen. Es wird immer nur ein Eintrag angezeigt. Klicken Sie auf WEITERSUCHEN, um zum nächsten Eintrag zu gelangen.
Ein Ereignis suchen
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Klicken Sie im linken Fensterbereich mit der rechten Maustaste auf das gewünschte Ereignisprotokoll. Im Systemmenü wählen Sie ANSICHT, SUCHEN.
3. Damit öffnen Sie das Suchen-Dialogfeld (Bild 18).
4. Entfernen Sie in diesem Dialogfeld alle Ereignistypen außer (zum Beispiel) WARNUNG und klicken Sie auf OK.
5. Der erste Eintrag, der den Suchkriterien entspricht, wird markiert. Sie können den Eintrag doppelklicken, um ihn anzuzeigen, oder auf WEITERSUCHEN klicken, um den nächsten passenden Eintrag zu finden.
Ein gespeichertes Ereignisprotokoll laden
In hochsensiblen Umgebungen wird das Protokoll Sicherheit fast immer archiviert, damit frühere Sicherheits- und Überwachungsereignisse auch später noch nachvollzogen werden können. Zudem mag es Situationen geben, in denen Sie andere Protokolle archivieren wollen, um Fehler nachvollziehen zu können. Ein archiviertes Protokoll kann in die Ereignisanzeige eines beliebigen 2000/2003/XP-Rechners importiert werden.
Ein gespeichertes Ereignisprotokoll laden
1. Wählen Sie START, VERWALTUNG, EREIGNISANZEIGE.
2. Im linken Fensterbereich der Ereignisanzeige klicken Sie mit der rechten Maustaste auf EREIGNISANZEIGE (LOKAL) und wählen im Kontextmenü PROTOKOLLDATEI ÖFFNEN.
3. Im ÖFFNEN -Dialogfeld (Bild 19) wählen Sie die zu öffnende Datei aus. Gespeicherte Ereignisprotokolle haben die Dateierweiterung EVT.
4. Klicken Sie auf ÖFFNEN, um die gespeicherte Protokolldatei zu laden. Die gespeicherte Datei erscheint als zusätzlicher Eintrag in der Ereignisanzeige (Bild 20).
Die PhrasePROTKOLL ... WURDE GESPEICHERT ist ein Übersetzungsfehler; es müsste heißen: "Gespeichertes Protokoll...".
Im Resource Kit von Windows 2000 gab es ein sehr nützliches Tool namens dumpel.exe, das die Ereignisprotokolle auf Grundlage verschiedener Suchkriterien nach speziellen Ereignissen durchsucht. Aus irgendeinem Grund jedoch fehlt es im Resource Kit von Windows Server 2003. Sie können es aber immer noch bei Microsoft herunterladen: Geben Sie einfach dumpel.exe als Suchbegriff ein und folgen Sie dem Download-Link.
Lösungen von Drittherstellern
Die Ereignisanzeige kann zahlreiche nützliche, ja essenzielle Informationen aufzeichnen, aber das Extrahieren oder auch nur Auffinden von Daten innerhalb des Protokolls kann schwierig werden. Es gibt daher Programme zur Ereigniskonsolidierung und -berichterstellung, die die Ereignisanzeige automatisch und semi-intelligent prüfen. Diese Tools suchen nach Erkennungsmustern von Ausfällen, Angriffen oder potenziellen Problemen des Systems und melden Ihnen die Ergebnisse in einem übersichtlichen Format.
Ausblick
Im nächsten Teil der Artikelserie geht es darum, die gelernten Grundlagen im Bereich der Überwachung einzusetzen. Sie lernen Richtlinien festzulegen und Sicherheitsereignisse zu analysieren.
Die Serie basiert auf Kapitel 6 des Buches "MCSA/MCSE - Windows Server 2003 verwalten und warten. Examen 70-290" von Lee Scales und John Michell. Erschienen ist es im Verlag Addison-Wesley. Sie können sich das über 600 Seiten starke Buch in unserem Buchshop versandkostenfrei bestellen oder als eBook beziehen.
| |
Teil 1 | |
|---|---|
Teil 2 | |
Teil 3 | |
Teil 4 | |
Teil 5 | |
Teil 6 |